Блоги ICANN

Читайте блоги ICANN, чтобы получать новости о деятельности в области формирования политики, региональных мероприятиях и других событиях.

Atualização sobre o RAA 2013 e o Processo de Isenção da Retenção de Dados

28 февраля 2014
Автор Cyrus Namazi

Requisitos de retenção de dados no RAA 2013

Minha recente publicação no blog da ICANN destacou o RAA 2013 e algumas de suas melhorias notáveis, criadas para proteger os registrantes e o público que usa a Internet. Uma das atualizações incluídas no RAA 2013 é a Especificação para Retenção de Dados.

A Especificação para Retenção de Dados atualiza e esclarece as obrigações de retenção de dados presentes no RAA 2009 (e nas versões anteriores do RAA). No geral, o RAA 2013 exige que mais elementos de dados sejam retidos pelos registradores do que antes, mas divide os elementos de dados em grupos que devem ser mantidos por 2 anos ou 180 dias além da vigência do registro – ambos mais breves do que o exigido nas versões anteriores do RAA.

Conformidade com a lei

Os requisitos de retenção de dados do RAA 2013 se baseiam em recomendações apoiadas pelos governos mundiais por meio do Comitê Consultivo para Assuntos Governamentais da ICANN. No entanto, alguns registradores expressaram a preocupação de que as leis locais de proteção de dados e outras leis de privacidade possam dificultar a conformidade com esses novos requisitos. A ICANN reconhece que as leis variam de acordo com o país, e que alguns dos novos requisitos de retenção de dados do RAA 2013 podem entrar em conflito com algumas normas de proteção e privacidade de dados da Europa. Para esclarecer, as leis vigentes prevalecem sobre os termos do RAA.

O RAA 2013 tem uma nova provisão de "cláusulas independentes", que oferece um mecanismo para situações em que a cláusula do contrato seja considerada inaplicável de acordo com as leis em vigor. Além disso, uma cláusula específica relacionada a isenções foi incorporada à Especificação para Retenção de Dados para lidar com os casos em que a conformidade com os requisitos de coleta e/ou retenção de dados possa ser proibida pelas leis em vigor.

Qualificação para a Isenção de Conformidade com o RAA 2013

O primeiro novo RAA 2013 entrou em vigor em agosto de 2013, e em setembro de 2013 a ICANN publicou um "Processo para lidar com solicitações de isenção de retenção de dados de registradores". Para qualificar-se para a isenção de conformidade com os requisitos de retenção de dados, os registradores devem apresentar à ICANN o parecer de um escritório de advocacia ou uma decisão judicial ou orientação de um órgão governamental da jurisdição competente declarando que coletar ou manter um ou mais elementos de dados da maneira determinada pela especificação viola as leis em vigor. Uma declaração geral de que os requisitos de coleta e retenção de dados são ilegais não será suficiente, pois isso não identifica o requisito específico do RAA 2013 que apresenta problemas. Em vez disso, a solicitação de isenção deve especificar a lei aplicável, o(s) requisito(s) específico(s) de coleta e/ou retenção de dados que supostamente transgride(m) a lei, e a maneira em que a coleta e/ou retenção viola a lei. Essa especificação ajuda a ICANN a determinar os limites apropriados da abrangência e da duração dos requisitos de coleta e retenção de dados ao conceder a isenção.

O RAA 2013 determina que a ICANN e o registrador discutam solicitações de isenção de boa fé, em um esforço para chegar a uma resolução mutuamente aceitável. Se a ICANN concordar com a determinação do registrador de que a coleta ou retenção de qualquer elemento de dados viola as leis em vigor, pode suspender a conformidade e a aplicação das cláusulas envolvidas, além de conceder uma isenção (depois de publicar sua determinação preliminar de isenção on-line por 30 dias). A ICANN reconhece que as isenções devem ser ajustadas para limitar a abrangência e/ou duração da coleta e da retenção de dados conforme necessário para obedecer as leis locais, mas não eliminará completamente todos os requisitos de coleta e retenção de dados.

As leis de privacidade permitem a retenção de dados

Em países com leis de privacidade de dados aplicáveis aos registradores, a ICANN concluiu que as restrições normalmente permitem a retenção dos dados de registro, mas apenas para fins legítimos, e pelo período necessário para a finalidade pela qual os dados foram coletados e serão processados. O que constitui um fim legítimo e o período pelo qual os dados podem ser mantidos são questões complicadas, e as respostas podem variar de acordo com o país, até mesmo dentro da UE (União Europeia), em que todos os estados membros estão sujeitos à mesma diretriz de privacidade de dados.

A posição da ICANN é que há objetivos importantes, tanto públicos como de proteção dos registrantes, que justificam os requisitos de que os registradores mantenham dados sobre os registros de domínios, mesmo que por algum tempo além da expiração de um nome de domínio. Por exemplo, os dados de registro seriam necessários para tentar desfazer o sequestro de um nome de domínio, mesmo que o registrador possa considerar o contrato de registro rescindido no momento da transferência (não autorizada).1. Da mesma forma, uma vítima de roubo de identidade pode contestar uma cobrança do cartão de crédito por um registro excluído pelo registrador devido ao uso do domínio para phishing ou distribuição de malware, violando seu contrato de serviço; o registro de informações básicas seria necessário para facilitar a resolução do problema. Os registradores também podem precisar de dados de registro para resolver erros de faturamento ou disputas, como na aplicação de uma taxa de renovação de registro depois que um domínio é transferido ou excluído. Esses são apenas alguns exemplos reais em que poderia haver um motivo legítimo para que os registradores mantenham informações sobre registros e transações por algum tempo depois da exclusão ou transferência de um registro.

Status das solicitações de isenção enviadas

A complexidade e a diversidade das leis de privacidade nacionais resultou em investimentos consideráveis de tempo e recursos tanto pela ICANN quanto pelos registradores. Até hoje, 15 solicitações de isenção foram enviadas por registradores da União Europeia. O grupo que está trabalhando no artigo 29 da UE também escreveu à ICANN para expressar sua preocupação com a legalidade dos requisitos de retenção de dados do RAA 2013 dentro da UE. Como cada país pode interpretar seus requisitos de privacidade de dados de forma diferente, a ICANN está trabalhando em cada uma das solicitações enviadas, país por país.

No dia 24 de janeiro de 2014, a ICANN publicou a primeira "Notificação de Determinação Preliminar de Concessão de Isenção de Retenção de Dados" ao Registrador OVH SAS na França. A isenção proposta permitiria que o OVH SAS mantivesse determinadas informações especificadas em parte da Especificação para Retenção de Dados pela duração de sua responsabilidade por cada registro, e pelo período de um ano adicional depois disso (em vez de dois anos). A ICANN e seu conselho externo conversaram com vários outros registrantes sobre suas solicitações de isenção. Acreditamos que essas discussões permitirão que a ICANN conceda mais isenções em breve.

Procedimento para conflitos do WHOIS com a lei

Os procedimentos para obter a isenção das obrigações de retenção de dados do RAA 2013 são diferentes dos que se aplicam segundo o Procedimento para conflitos do WHOIS com a lei, desenvolvidos pela comunidade da ICANN e adotados pela Diretoria. Sabemos dos desafios que a abordagem atual com dois procedimentos podem causar, e também ouvimos o comentário de alguns registradores de que o limite necessário para utilizar o procedimento de conflitos do Whois pode ser alto demais. Para tentar resolver esses problemas, em breve a ICANN anunciará uma revisão pública do procedimento de Conflitos do Whois, que incorporará muitos comentários da comunidade. Mais detalhes sobre essa revisão serão publicados nas próximas semanas.

A ICANN continua comprometida com a proteção dos registrantes e do público, e com a conformidade dos registradores com as leis em vigor. Aguardamos mais discussões com registradores, governos e outras partes interessadas sobre essas questões, inclusive nas próximas reuniões da ICANN de 23 a 27 de março em Cingapura.

Authors

Cyrus Namazi